> Tech > Contrôlez vos services d’annuaire avec un proxy LDAP

Contrôlez vos services d’annuaire avec un proxy LDAP

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

Ces dernières années les services d'annuaire ont vu leur cote monter dans les entreprises. Le succès grandissant de Novell avec Novell Directory Services (NDS) et le lancement par Microsoft d'Active Directory (AD) ont été des raisons suffisantes pour décider un grand nombre d'entreprises à  explorer le potentiel des services d'annuaire dans leurs environnements. L'interface proxy LDAP (Lightweight Directory Access Protocol) séduit les entreprises en leur offrant un large éventail d'informations d'identité grâce à  une réplique virtuelle, sans la consommation de CPU impliquée par une duplication des données et la propagation des changements à  travers un réseau.

En 1995 LDAPv2 a inauguré un protocole d'accès d'annuaire standard et, en 1997, LDAPv3 a étendu le protocole en lui ajoutant plusieurs fonctions.

Pour tout savoir sur LDAP, voir les RFC (Request for Comments) 1 777, pour LDAPv2, et 2 251, pour LDAPv3, de l'IETF à  l'adresse http://www.ietf.org/rfc.html

Les éditeurs ont immédiatement commencé à  développer des produits LDAP. Il faut cependant examiner soigneusement les déclarations des éditeurs affirmant la compatibilité de leurs produits avec LDAP. Pour être LDAP, un produit doit pouvoir consulter des données d'applications via LDAP.

Par exemple, Microsoft a permis la consultation d'Exchange Server au moyen de LDAP. Dans d'autres produits compatibles LDAP, les éditeurs s'appuient sur un annuaire LDAP disponible pour stocker des données sur les utilisateurs, leurs profils et des informations de configuration.

Par exemple, les produits SiteMinder de Netegrity et FireWall-1 de Check Point Software Technologies utilisent soit des services d'annuaires propriétaires, soit un service d'annuaire d'éditeur tiers, comme Netscape Directory Server, pour stocker des informations sur les utilisateurs et les stratégies. Les éditeurs n'ont aucun mal à  fournir la fonction d'interrogation LDAP pour rendre leurs produits compatibles.
Pour un produit maintenant une base de données d'utilisateurs ou un annuaire interne, il ne faut que quelques efforts de développement pour permettre la consultation de la base de données ou de l'annuaire via LDAP. En revanche l'utilisation d'annuaires LDAP est plus difficile car les produits LDAP comptent sur une entreprise pour avoir un annuaire supportant les besoins spécifiques des applications.
La fonctionnalité LDAP rend aussi plus difficile le support entre produits.
Lorsque AD aura acquis une position de force et offrira un niveau de service garanti et des informations sur lesquelles les autres applications pourront s'appuyer, on assistera probablement à  une forte reprise de l'activité LDAP.

Actuellement, trois éditeurs proposent des serveurs proxy LDAP autonomes : Innosoft International, avec ILPS (Innosoft LDAP Proxy Server), MaXware Benelux avec MLPS (MaXware LDAP Proxy Server) et NEXOR avec DBA (Directory Boundary Agent). Cet article porte plus spécialement sur une mise en oeuvre spécifique de l'annuaire virtuel (également baptisée broker ou courtier d'annuaire) considérée comme un service intermédiaire (proxy) LDAP.
La médiation LDAP peut aider à  garder le contrôle lorsqu'il s'agit d'accorder l'accès à  plusieurs ressources compatibles LDAP, en l'absence de solution de métaannuaire intégrale ou d'une maîtrise totale des ressources compatibles LDAP, dont il faut autoriser l'accès.
Nous allons examiner les services proxy LDAP liés aux services d'annuaire, un certain nombre de serveurs proxy LDAP disponibles, ainsi que les limites et les avantages de l'utilisation d'un proxy LDAP. Je donnerai également quelques conseils sur l'opportunité d'une implémentation de services proxy.

Un proxy LDAP est un médiateur entre un client LDAP et une ou plusieurs ressources compatibles LDAP, généralement des serveurs

Un proxy LDAP est un médiateur entre un client LDAP et une ou plusieurs ressources
compatibles LDAP, généralement des serveurs. Le rôle du proxy est de diriger et
de transformer de façon transparente les requêtes adressées aux serveurs LDAP,
puis de filtrer les réponses renvoyées au client au moment de la consultation.
On peut citer comme exemples de solutions compatibles LDAP à  utiliser avec un
proxy, Echange Server, NDS et Windows 2000 avec AD.

Si nécessaire, un proxy LDAP supporte la différentiation des niveaux de sécurité
entre authentifications et autorisations. Il permet une configuration à  granularité
fine des contrôles d’accès et des filtres, ce que n’offrent pas tous les annuaires
LDAP, et peut servir à  glisser une couche d’abstraction entre des clients LDAP
et une ou plusieurs solutions de sécurité natives des serveurs LDAP.

La plupart des proxy LDAP permettent généralement deux types d’authentification
et d’autorisation. Ils supportent l’authentification « pass through », basée sur
les références accompagnant la requête et opèrent en mode super-utilisateur ou
administrateur, ce qui implique la mise en oeuvre de contrôles d’accès supplémentaires
sur le serveur proxy. Sous un autre angle, on peut rapprocher le proxy LDAP du
concept de métaannuaire (peut-être même les mettre en concurrence).
Pour localiser une copie d’un annuaire externe au firewall d’une entreprise, il
faut instaurer des règles de synchronisation et gérer la disponibilité de l’annuaire
externe. Autre possibilité, le proxy LDAP collabore par le biais du firewall avec
l’annuaire interne et permet de gérer dynamiquement la transformation des données,
leur disponibilité et les besoins de sécurité.
On peut aussi utiliser un plug-in (pré ou post-plug-in) sur le serveur d’annuaires,
pour intercepter efficacement la requête à  l’entrée et à  la sortie du serveur.
Netscape fait appel à  cette solution ; mais pour assurer cette fonctionnalité,
il faut coder un programme en langage C.
Les proxy LDAP diffèrent de la Java Naming and Directory Interface (JNDI) et des
Active Directory Service Interfaces (ADSI), qui offrent une API pour accéder à
plusieurs annuaires à  partir du client.
Microsoft propose ADSI comme principale API pour la programmation à  destination
d’AD et de LDAP pour s’adresser aux serveurs AD. JNDI et ADSI laissent à  l’application
cliente la responsabilité de gérer et de comprendre les divers annuaires qu’elles
interrogent. Elles abrègent les formats des requêtes grâce à  leurs API.
Comme les serveurs proxy LDAP gèrent les requêtes LDAP standards, il est tout
de même possible d’utiliser JNDI et ADSI pour effectuer une requête par l’intermédiaire
d’un proxy LDAP.

Téléchargez cette ressource

Préparer l’entreprise à l’IA et aux technologies interconnectées

Préparer l’entreprise à l’IA et aux technologies interconnectées

Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.

Tech - Par iTPro.fr - Publié le 24 juin 2010